Juniper防火墙日常维护手册.docx
《Juniper防火墙日常维护手册.docx》由会员分享,可在线阅读,更多相关《Juniper防火墙日常维护手册.docx(30页珍藏版)》请在冰豆网上搜索。
Juniper防火墙日常维护手册
Juniper 防火墙维护手册
防火墙维护手册
1.日常维护内容.................................................................................................3
1.1. 配置主机名 .................................................................................................3
1.2. 接口配置 .....................................................................................................4
1.3. 路由配置 .....................................................................................................5
1.4. 高可用性配置(双机配置) .....................................................................6
1.5. 配置 MIP(通过图形界面配置) .............................................................9
1.6. 配置访问策略(通过图形界面配置) ...................................................11
2.NetScreen 的管理........................................................................................15
2.1. 访问方式 ...................................................................................................15
2.2. 用户 ...........................................................................................................17
2.3. 日志 ...........................................................................................................18
2.4. 性能 ...........................................................................................................20
2.5. 其他常用维护命令 ...................................................................................21
3.其他的配置...................................................................................................21
3 / 23
防火墙维护手册
1. 日常维护内容
1.1. 配置主机名
NetScreen 防火墙出厂配置的机器名为 netscreen,为了便于区分设备和维护,
在对防火墙进行配置前先对防火墙进行命名:
Netscreen-> set hostname FW-1-M
FW-1-M >
1.2. 接口配置
配置接口的工作包括配置接口属于什么区域、接口的 IP 地址、管理 IP 地
址、接口的工作模式、接口的一些管理特性。
接口的管理 IP 与接口 IP 在同一
网段,用于专门对接口进行管理时用。
在双机的工作状态下,因为接口的地址
只存在于主防火墙上,如果不配置管理 IP,则不能对备用防火墙进行登录了。
一般在单机时,不需要配置接口的管理 IP,但在双机时,建议对 trust 区域的
接口配置管理 IP。
接口的一些管理特性包括是否允许对本接口的 IP 进行
ping、telnet、WebUI 等操作。
注意:
接口的工作模式可以工作在路由模式,NAT 模式和透明模式。
在产品线
应用中,透明模式很少用,而 NAT 模式只有在 trust 到 untrust 的数据流才起
作用,建议把防火墙的所有接口都配置成 route 的工作模式,用命令 set
interface 接口名route 配置即可,缺省情况下需要在 trust 区段中的接口使用此
命令。
本例子中,配置接口 ethernet2 属于 Untrust 区,IP 地址为
202.38.12.23/28,如设置管理方式是 Http,命令如下:
Ns204 -> set interface ethernet1 zone Trust
Ns204 -> set interface ethernet1 ip 10.243.194.194/29
Ns204 -> set interface ethernet1 nat
Ns204 -> set interface ethernet1 zone Untrust
Ns204 -> set interface ethernet2 ip 202.38.12.23/28
Ns204 -> set interface ethernet1 nat
4 / 23
防火墙维护手册
选择接口后按 Edit 键后进入以下页面进行配置接口特性:
透明模式只需要将防火墙的接口配置为 V1-Untrust 或 V1-Trust 等二层的区段,
不需要配置接口的 IP,设置的命令如下:
FW-1-M -> set interface ethernet1/1 zone V1-Unrust
FW-1-M -> set interface ethernet1/2 zone V1-Trust
1.3. 路由配置
NetScreen 防火墙有路由功能,缺省情况下,内部有 Untrust-vr 和 Trust-
vr 两个路由器,为了能与外部通讯,需要在这两个虚拟路由器上配置路由。
如
果 untrust-vr 没有使用的话,不需要在 untrust-vr 上配置路由。
一般应用中,
5 / 23
防火墙维护手册
配置静态路由即可满足要求。
配置静态路由时,需要配置目的网络、下一跳及
出去的接口。
透明模式的防火墙不需要设置路由信息。
本例中,在 trust-vr 上配置默认的路由下一跳通过 Untrust 接口指向网关
202.38.12.17
Ns204->setroute0.0.0.0/0interfaceethernet2gateway
211.136.202.9
用 WebUI 的方式配置接口,菜单:
Network->routing->routing entries
按 New 按钮可以配置一个新的路由:
6 / 23
防火墙维护手册
1.4. 高可用性配置(双机配置)
NetScreen 双机的基本配置步骤:
1、检查双机的版本是否一致,原则上两台防火墙的版本要求相同。
如果版本不
同,建议升级到相同的版本。
防火墙版本的检查命令:
FW-1-M ->get system
Product Name:
NetScreen-ISG1000
Serial Number:
0133102006000136, Control Number:
00000000
Hardware Version:
3010(0)-(04), FPGA checksum:
00000000, VLAN1 IP (0.0.0.0)
Software Version:
5.3.0r7.0, Type:
Firewall+VPN
2、连接 HA 线,把接口划分到 HA 区段中。
HA 线是防火墙的心跳线,ISG1000 没有专门的 HA 接口,必须设置接口来并
划分到 HA 区段中。
如果心跳线采用光纤则只需要设置一个 HA 口和一根心跳线,
如果采用双绞线作为心跳线,则需要设置两个 HA 口和两条双胶线,HA 接口之
间采用交叉线相连接。
本例将 Eth1/3 及 eth1/4 设置为 HA 接口:
FW-1-M -> set interface "ethernet1/3" zone "HA"
FW-1-M ->set interface "ethernet1/4" zone "HA"
3、配置 cluster ID 号
防火墙双机也叫 cluster,同一个双机的 cluster 号应相同。
在两台防火墙
上都用命令配置成同一个 cluster:
GM-Web(M)->set nsrp cluster id 1
则两台防火墙一台会变成 FW-1-M (M),另一台会变成 FW-1-B (B),(M)表示主
用,(B)表示备用,(I)表示初始化。
注意:
在(I)状态下,防火墙是不能正常工作的,出现此状态时一定要注意。
用 WebUI 方式配置双机的 cluster ID,菜单:
Network->NSRP->Cluster
7 / 23
防火墙维护手册
4、配置 VSD 组及优先级
虚拟安全设备 VSD 组用于防火墙工作在 active/active 方式下,缺省情况下
两台 NetScreen 防火墙都属于 VSD 组 0,可以设置 VSD 组的优先级,优先级数
值越小,则越优先。
FW-1-M (M)-> set nsrp vsd-group id 0 priority 50
用 WebUI 的方式配置 VSD 组的优先级,菜单:
Network->NSRP->VSDGroup,选
择 New 或 Edit 菜单则可。
5、配置双机同步
配置成双机后,把在防火墙上新增加的配置会自动同步到另一台防火墙上:
8 / 23
防火墙维护手册
注意:
在配置成双机前的防火墙上的配置不会主动同步到另一台机器上;如果
在防火墙 1 上做配置时,防火墙 2 是 down 的,则此时在防火墙 1 上做的配置,
是不会主动同步到另一台防火墙上的。
如果要同步这些异常情况下的配置,则
需要在备机上运行相应的命令。
配置 RTO,RTO 相当于防火墙上的连接信息,在两台防火墙上分别配置:
FW-1-M (M)-> set nsrp rto-mirror syc
FW-1-B (B)-> set nsrp rto-mirror syc
用 WebUI 的方式配置同步,菜单:
Network->NSRP->Synchronization
1.5. 配置 MIP(通过图形界面配置)
1、命令行
Ns204 (M)-> set interface eth0/2 mip 211.136.202.19 host 10.243.194.195 netmask
255.255.255.255
WebUI 方式
选择菜单:
Network->interfaces,选择 eth0/2,按 Edit 按钮:
9 / 23
防火墙维护手册
再选择 MIP 进入:
10 / 23
防火墙维护手册
选择 New 选项,配置一个新的 MIP:
1.6. 配置访问策略(通过图形界面配置)
通过配置访问策略来控制通过防火墙的访问,
1、配置地址
配置地址的对象,可以是单个 IP 或一个网段。
选择
Objects>Addresses>Configuration ,再选择你配置源 IP 的安全区(或目的地
址的安全区),
11 / 23
防火墙维护手册
设置单个 IP:
设置 IP 段:
2、配置访问 Service
Netscreen 防火墙中内置了许多的 Service,如 HTTP,FTP 等,你可以在策略中
直接选择需要访问的 Service,如果你需要设置自定义的 Service,可按如下步
骤:
进入 Objects>Services>Custom>Edit,本例设置的是 7001 端口(用于 HTTP)
12 / 23
防火墙维护手册
当然,你也可以配置地址的组,将你需要的地址放入组中,并在策略中引用组。
4、配置策略
本例配置从 Untrust 到 Trust 区允许 Any 访问 172.16.1.122 服务器的
HTTP_7001 服务,已定义 172.16.1.122 地址为 WebServer。
进入 Policies,选择源安全区 Untrust 到目的安全区 Trust,并点击有上角
New
13 / 23
防火墙维护手册
6、配置 MIP 访问策略
步骤与上相同,本例是从 Untrust 访问 MIP 地址 202.38.12.17。
14 / 23
防火墙维护手册
2. NetScreen 的管理
2.1. 访问方式
NetScreen 防火墙支持多种的管理方式:
WebUI、Telnet、console、ssh、NetScreen 防火墙管理软件等。
常用的有
console、WebUI 和 Telnet。
Console 是通过直接的串口线连接防火墙,对防火墙进行管理和配置;
telnet 是通过终端仿真协议登录到防火墙上的可管理地址,对防火墙进行管理
和配置;WebUI 是通过 IE 或 Netscape Communicator 登录到防火墙的可管理地
址,对防火墙进行管理和配置。
通过串口直接登录到防火墙时,超级终端的端口配置如下:
-----串行通讯 9600bps
-----8 位
-----无奇偶校验
-----1 停止位
-----无信息流控制
Telnet 或 console 登录后的命令行界面如下:
15 / 23
防火墙维护手册
WebUI 登录的界面如下:
注意:
如果要通过 telnet 或 WebUI 登录和管理防火墙,所登录的防火墙的接口
需要打开 telnet 或 WebUI 的功能;如果防火墙的接口配置了管理 IP,一般只
能对接口的管理 IP 进行 telnet 或 WebUI,而不能直接对接口 IP 地址进行
telnet 或 WebUI(版本不支持)。
用命令行的方式检查接口是否打开 telnet 或 WebUI 功能的方式:
ns204-> get inter eth2
Interface ethernet2:
description ethernet2
number 5, if_info 10280, if_index 0, mode route
link up, phy-link up/full-duplex
16 / 23
防火墙维护手册
vsys Root, zone Untrust, vr trust-vr
dhcp client disabled
PPPoE disabled
admin mtu 0, operating mtu 1500, default mtu 1500
*ip 211.136.202.10/30mac 0014.f642.d475
*manage ip 211.136.202.10, mac 0014.f642.d475
route-deny disable
pmtu-v4 disabled
ping enabled, telnet enabled, SSH enabled, SNMP disabled
web enabled, ident-reset disabled, SSL disabled
DNS Proxy disabled, webauth disabled, webauth-ip 0.0.0.0
OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabled
PIM:
not configured IGMP not configured
bandwidth:
physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
DHCP-Relay disabled
DHCP-server disabled
Number of SW session:
128052, hw sess err cnt 0
用 WebUI 的方式检查接口是否打开 telnet 或 WebUI 功能的方式:
选择菜单:
Network->interface
选择对应接口的 Edit 菜单:
17 / 23
防火墙维护手册
2.2. 用户
NetScreen 设备支持多个管理用户级别。
这些级别的可用性取决于 NetScreen
设备的模式。
NetScreen 根管理员具有完全的管理权限。
每个 NetScreen 设备
只有一个根管理员。
缺省情况下根管理员的用户名和密码为
netscreen/netscreen。
在进行防火墙配置时,务必先修改防火墙根用户的默认
用户名和默认口令。
用命令行的方式修改根用户的用户名和口令的命令:
GM-Web(M)-> set admin user xxx password yyy
其中 xxx 为根用户的用户名,yyy 为根用户的密码。
用 WebUI 的方式修改根用户名和密码的方式
选择菜单:
Configuration->Admin->Adminstrators:
18 / 23
防火墙维护手册
选择 Edit 按钮后可出现以下菜单,可以输入新的根用户和口令:
注意:
NetScreen 防火墙在启用后,强烈建议修改缺省密码。
同时在上线后,
每次修改 NetScreen 防火墙的配置,都建议对配置作备份。
因为 NetScreen 防
火墙密码丢失后,恢复密码的操作会把防火墙所有的配置丢掉。
2.3. 日志
防火墙有各种日志,常用的有告警日志和事件日志,这些日志信息对于维护防
火墙时是非常有用的。
用命令行的方式查看告警日志的命令:
SN-NS500-FW1(M)-> get alarm event
Total event entries = 44
DateTimeModule Level Type Description
2004-12-07 15:
14:
26 system crit 00015 Peer device 8319360 in the Virtual
Security Device group 0 changed state
from backup to primary backup.
2004-12-07 15:
14:
25 system crit00071 The local device 8318976 in
the
19 / 23
防火墙维护手册
Virtual Security Device group (0)
changed state from primary backup to
master, missing master.
用命令行的方式查看事件日志的命令:
GM-Web(M)-> get event
Total event entries = 41
DateTimeModule Level Type Description
2007-01-01 12:
27:
44 system notif 00767 Alarm log was reviewed by admin
netscreen.
2007-01-01 12:
21:
13 system warn 00515 Admin user netscreen has logged on via
Telnet from 172.16.1.119:
2667
2007-01-01 12:
21:
13 system warn 00515 Login attempt to system by admin
netscreen via Telnet from 172.16.1.119:
2667 has failed (Incorrect password)
2007-01-01 12:
21:
08 system warn 00518 ADM:
Local admin authentication failed
for login name 'netscreen':
invalid
password
通过 WebUI 方式查看告警日志和事件日志的方法:
通过 WebUI 登录到防火墙上
即可:
2.4. 性能
维护时检查防火墙的性能主要是查看防火墙 CPU 和 Session 的使用情况。
通过命令行的方式查看防火墙的 CPU 使用情况:
GM-Web(M)-> get performance cpu
Average System Utilization:
1%
Last 1 minute:
2%, Last 5 minutes:
2%, Last 15 minutes:
2%
GM-Web(M)-> get performance cpu detail
20 / 23
防火墙维护手册
Average System Utilization:
1%
Last 60 seconds:
59:
258:
257:
256:
255:
254:
2
53:
252:
251:
250:
249:
248:
2
47:
246:
245:
244:
243:
242:
2
41:
240:
239:
238:
237:
236:
2
35:
234:
233:
232:
231:
230:
2
29:
228:
227:
226:
225:
224:
2
23:
222:
221:
220:
219:
218:
2
17:
216:
215:
214:
213:
212:
2
11:
210:
29:
28:
27:
26:
2
5:
24:
23:
22:
21:
20:
2
Last 60 minutes:
59:
258:
257:
256:
255:
254:
2
升级会员 